- Тема
29k Популярність
19k Популярність
61k Популярність
31k Популярність
4k Популярність
96k Популярність
28k Популярність
27k Популярність
7k Популярність
18k Популярність
- Закріпити
29k Популярність
19k Популярність
61k Популярність
31k Популярність
4k Популярність
96k Популярність
28k Популярність
27k Популярність
7k Популярність
18k Популярність
Веб3 підписна фішинг-розкриття: аналіз основної логіки та посібник з профілактики
Аналіз основної логіки підписного фішингу Web3
Останнім часом "фішинг з підписом" став одним з найулюбленіших способів шахрайства серед хакерів у Web3. Незважаючи на те, що експерти галузі та безпекові компанії постійно поширюють відповідні знання, щодня велика кількість користувачів потрапляє в пастку. Однією з основних причин цього є те, що більшість людей не розуміють основні механізми взаємодії з гаманцем, а для нетехнічних спеціалістів поріг навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми пояснимо основну логіку фішингу підписів за допомогою ілюстрацій та зрозумілої мови.
По-перше, нам потрібно зрозуміти, що при використанні гаманця основними є два види операцій: "підпис" і "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати газового збору; тоді як взаємодія відбувається на блокчейні (в межах ланцюга) і вимагає сплати газового збору.
Підпис зазвичай використовується для автентифікації, наприклад, при вході в гаманець. Коли ви підключаєтеся до певного DEX, вам потрібно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не змінює жодних даних або стану в блокчейні, тому платити комісію не потрібно.
На відміну від цього, взаємодія включає фактичні операції в ланцюзі. Наприклад, під час обміну токенами на певному DEX вам спочатку потрібно надати дозвіл смарт-контракту DEX на переміщення ваших токенів (це називається "дозволом" або "approve"), а потім виконати фактичну операцію обміну. Обидва ці етапи вимагають сплати газового збору.
Після того, як ми зрозуміли різницю між підписом та взаємодією, давайте розглянемо три поширені способи фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Дозволене фішинг використовує механізм дозволу (approve). Хакери можуть створити фішинговий веб-сайт, що маскується під NFT проект, щоб спонукати користувачів натиснути кнопку "отримати аеродроп". Насправді ця дія вимагатиме від користувачів дозволити адресі хакера керувати своїм токеном. Оскільки потрібно сплачувати газовий збір, багато користувачів стають більш обережними в таких ситуаціях, тому їх відносно легко запобігти.
Захист від фішингу підписів Permit і Permit2 є більш складним, оскільки користувачі звикли підписувати вхід до гаманця перед використанням DApp, що сприяє формуванню інерційного мислення "ця дія є безпечною".
Механізм Permit є розширеною функцією авторизації в стандарті ERC-20. Користувачі підписують дозвіл на переміщення своїх токенів іншими особами, а не виконують операцію авторизації безпосередньо в мережі. Зловмисники можуть скористатися цим механізмом, спонукаючи користувачів підписати повідомлення, що дозволяє переміщення активів, а потім використовуючи цей підпис, виводити токени користувача.
Permit2 – це функція, яку певний DEX впровадив для покращення досвіду користувачів. Вона дозволяє користувачам одноразово надати велику суму дозволу смарт-контракту Permit2, після чого для кожної угоди потрібно лише підписати, не сплачуючи більше Gas. Проте, якщо користувач раніше користувався цим DEX і надав безмежний дозвіл, він може стати мішенню для фішингу Permit2.
В цілому, авторизаційна фішинг-атака дозволяє користувачам безпосередньо авторизувати хакерів для управління своїми токенами, тоді як підписна фішинг-атака спонукає користувачів підписати "ліцензію", яка дозволяє хакерам переміщувати активи.
Щоб запобігти цим фішинг-атакам, ми можемо вжити такі заходи:
Виховувати свідомість безпеки, щоразу виконуючи операції з гаманцем, слід уважно перевіряти конкретний зміст операцій.
Розділіть великі суми коштів і гроші для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit і Permit2. Коли ви бачите запит на підпис, що містить наступні елементи, будьте особливо обережні:
Зрозумівши ці основні механізми та вживаючи відповідні запобіжні заходи, ми можемо краще захистити свої цифрові активи і уникнути того, щоб стати жертвами підроблених підписів.